Si el Módulo 3 y el Módulo 4 te enseñaron a pensar el riesgo, este módulo te enseña la norma que obliga a gestionarlo de forma sistemática, documentada y auditable: ISO/IEC 27001:2022. Es el estándar de seguridad de la información más reconocido del mundo, el único de la familia 27000 que una organización puede certificar frente a un tercero independiente, y el esqueleto sobre el que se apoyan el ENS y buena parte de los contratos B2B de seguridad, NIS2 y DORA que verás más adelante en el curso. Vamos a recorrerla cláusula a cláusula —de la 4 a la 10, las que contienen requisitos exigibles— y a entender el ciclo PDCA que las mantiene vivas en el tiempo, no como un proyecto que se cierra, sino como un sistema de gestión que respira.
Este módulo se centra en el cuerpo normativo (cláusulas 4-10): qué exige la norma para que el Sistema de Gestión de Seguridad de la Información (SGSI) sea certificable. El detalle de los 93 controles del Anexo A —qué son, cómo se agrupan y cómo se seleccionan— tiene entidad propia y se desarrolla íntegro en el Módulo 6 de este curso. Si aún no tienes claro cómo se identifica y trata un riesgo de seguridad, conviene repasar el Módulo 4 antes de continuar: la cláusula 6.1.2 se apoya directamente en esa metodología.
Qué aprenderás
- Qué es la familia de normas ISO/IEC 27000 y qué papel juega cada norma (27000, 27001, 27002, 27005, 27017/27018, 27701).
- Qué es un SGSI y qué significa exactamente que ISO/IEC 27001 sea una norma certificable frente a otras que solo son guías.
- La Estructura de Alto Nivel (HLS / Anexo SL) común a todas las normas de gestión ISO y por qué facilita integrar ISO 27001 con ISO 9001, ISO 22301 o ISO 14001.
- El contenido exacto de las cláusulas 4 a 10: contexto, liderazgo, planificación, soporte, operación, evaluación del desempeño y mejora.
- El ciclo PDCA (Planificar-Hacer-Verificar-Actuar) y su correspondencia con las cláusulas de la norma.
- Qué es el Anexo A y por qué es una referencia normativa a ISO/IEC 27002:2022, no un texto autocontenido.
- La transición 2013 → 2022: fechas exactas de publicación, plazo de transición y el Amendment 1:2024 sobre acción climática.
- Qué documentos y registros son obligatorios en cada cláusula, agrupados en una checklist práctica.
La familia ISO/IEC 27000: un mapa antes de entrar en detalle
ISO/IEC 27001 no vive sola. Forma parte de una familia de más de cuarenta normas conocida como la serie ISO/IEC 27000, desarrollada por ISO e IEC a través del subcomité SC 27 del comité técnico conjunto JTC 1. Antes de entrar en el detalle de la 27001, conviene situar las piezas que más vas a usar en este curso:
| Norma | Qué es | Naturaleza |
|---|---|---|
| ISO/IEC 27000 | Visión general y vocabulario común de toda la familia (definiciones de SGSI, riesgo, control, activo, etc.) | Informativa, de consulta libre en el sitio de ISO |
| ISO/IEC 27001 | Requisitos del SGSI: qué debe tener un sistema de gestión de seguridad para ser conforme | Certificable por un organismo acreditado |
| ISO/IEC 27002 | Guía de implementación de los controles de seguridad (los mismos 93 que enumera el Anexo A de la 27001) | No certificable por sí sola; es guía de apoyo |
| ISO/IEC 27005 | Directrices para la gestión del riesgo de seguridad de la información (apoya la cláusula 6.1 de la 27001) | No certificable; es guía metodológica |
| ISO/IEC 27017 | Controles de seguridad específicos para servicios en la nube (extiende 27002 para proveedores y clientes cloud) | No certificable de forma independiente; certificable como extensión del SGSI |
| ISO/IEC 27018 | Protección de datos personales (PII) en la nube pública actuando como encargado del tratamiento | No certificable de forma independiente; certificable como extensión del SGSI |
| ISO/IEC 27701 | Extensión de gestión de la privacidad (PIMS) sobre un SGSI ya certificado, alineable con RGPD | Certificable como extensión de un SGSI 27001 |
La distinción que más se confunde en la práctica —y que un examinador CISM, CISA o ISO 27001 Lead Auditor espera que domines sin dudar— es 27001 frente a 27002: la 27001 dice qué debe tener tu sistema de gestión para ser conforme, y es lo que un auditor certifica; la 27002 explica cómo implementar cada control que la 27001 referencia en su Anexo A. Nadie se certifica «en ISO 27002»; uno se certifica en ISO 27001 y usa la 27002 como manual de instrucciones de los controles.
Qué es un SGSI y qué significa que sea certificable
Un Sistema de Gestión de Seguridad de la Información (SGSI) —en inglés, Information Security Management System o ISMS— no es un conjunto de controles técnicos ni un documento aislado: es la estructura de gestión completa (políticas, procesos, roles, recursos y registros) mediante la cual una organización establece, implementa, mantiene y mejora de forma continua la seguridad de su información. ISO/IEC 27000 lo define, en esencia, como la parte del sistema de gestión global de una organización que, basada en un enfoque de riesgo de negocio, se encarga de establecer, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información.
La palabra clave operativa es sistema: la norma no exige un catálogo fijo de controles técnicos idénticos para todas las organizaciones —eso sería absurdo para una empresa de tres personas y para un banco sistémico por igual—, sino un proceso de gestión que obliga a identificar los riesgos propios, decidir qué controles son proporcionados, implementarlos, medir si funcionan y corregir lo que no funciona. Por eso dos organizaciones certificadas pueden tener conjuntos de controles técnicos bastante distintos entre sí y ser igualmente conformes: lo que la norma exige es el proceso, no un resultado técnico único.
Qué significa «certificable»
Que ISO/IEC 27001 sea certificable significa que una organización puede solicitar a un organismo de certificación acreditado (en España, acreditado por ENAC frente a la norma ISO/IEC 17021-1, que regula a los propios organismos certificadores) una auditoría externa independiente que verifique la conformidad de su SGSI con las cláusulas 4 a 10. Si es favorable, el organismo emite un certificado válido tres años, sujeto a auditorías de seguimiento anuales y una recertificación al final del ciclo. Este rasgo separa a la 27001 del resto de la familia: la 27002, la 27005 o la 27000 son documentos de referencia y guía —imprescindibles para implementar bien la 27001— pero ningún organismo certifica «conformidad con ISO 27002», porque no define requisitos de sistema de gestión, solo controles. El proceso de auditoría de certificación (fases 1 y 2, ISO 19011, no conformidades) se cubre en el Módulo 8.
La Estructura de Alto Nivel (HLS / Anexo SL)
Desde 2012, ISO exige que todas las normas de sistemas de gestión que publica —ISO 9001 (calidad), ISO 14001 (ambiental), ISO 22301 (continuidad de negocio), ISO 27001 (seguridad de la información), ISO 45001 (salud y seguridad laboral), entre otras— compartan una misma arquitectura de cláusulas, terminología y requisitos comunes. Esta arquitectura se conoce como Estructura de Alto Nivel (High Level Structure, HLS), definida originalmente en el Anexo SL de las Directivas ISO/IEC (Parte 1) y renombrada como Harmonized Structure (Estructura Armonizada) en las directivas más recientes, aunque en la práctica sigue citándose indistintamente como «HLS» o «Anexo SL».
La HLS fija diez cláusulas idénticas en número, título y en gran parte del texto base para todas las normas de gestión ISO:
| Cláusula HLS | Título común | Naturaleza |
|---|---|---|
| 1 | Objeto y campo de aplicación | Informativa |
| 2 | Referencias normativas | Informativa |
| 3 | Términos y definiciones | Informativa |
| 4 | Contexto de la organización | Requisitos |
| 5 | Liderazgo | Requisitos |
| 6 | Planificación | Requisitos |
| 7 | Soporte | Requisitos |
| 8 | Operación | Requisitos |
| 9 | Evaluación del desempeño | Requisitos |
| 10 | Mejora | Requisitos |
El valor práctico de la HLS es directo: una organización que ya tiene un sistema de gestión de calidad ISO 9001 certificado reconoce de inmediato la estructura 4-10 al implementar ISO 27001, porque el esqueleto es el mismo. Esto permite sistemas de gestión integrados: una única política de alto nivel, un único proceso de revisión por la dirección, una única auditoría interna que cubra varias normas a la vez, reduciendo duplicidad de esfuerzo. Lo que cambia de una norma a otra es el contenido específico del dominio: en ISO 27001 la cláusula 6.1 habla de riesgos de seguridad de la información y en ISO 22301 de riesgos de continuidad de negocio, pero la cláusula sigue llamándose «6 Planificación» en ambas.
Recorrido cláusula a cláusula: de la 4 a la 10
Las cláusulas 1 a 3 (objeto y campo de aplicación, referencias normativas, términos y definiciones) no contienen requisitos exigibles: son contexto e información de apoyo. Los requisitos auditables empiezan en la cláusula 4 y terminan en la 10. A continuación, el resumen de cada una y, después, el desarrollo detallado.
| Cláusula | Título | Qué exige, en una frase |
|---|---|---|
| 4 | Contexto de la organización | Entender el entorno interno/externo, las partes interesadas y fijar el alcance del SGSI |
| 5 | Liderazgo | La dirección se compromete, aprueba la política y asigna roles y autoridades |
| 6 | Planificación | Tratar riesgos y oportunidades, hacer la apreciación y el tratamiento del riesgo, fijar objetivos y planificar cambios |
| 7 | Soporte | Dotar de recursos, competencia, concienciación, comunicación e información documentada |
| 8 | Operación | Ejecutar y controlar lo planificado: procesos operativos y tratamiento del riesgo en marcha |
| 9 | Evaluación del desempeño | Medir, auditar internamente y revisar el SGSI desde la dirección |
| 10 | Mejora | Gestionar no conformidades, aplicar acciones correctivas y mejorar de forma continua |
Cláusula 4 — Contexto de la organización
Es el punto de partida obligatorio: antes de diseñar un solo control, la organización debe entender el terreno en el que opera. La cláusula 4 exige cuatro cosas concretas:
- 4.1 Comprensión de la organización y de su contexto: identificar las cuestiones internas (cultura, estructura, capacidades, sistemas heredados) y externas (marco legal, regulatorio, tecnológico, competitivo, geopolítico) pertinentes para el propósito del SGSI y para su capacidad de lograr los resultados previstos.
- 4.2 Comprensión de las necesidades y expectativas de las partes interesadas: identificar las partes interesadas relevantes (clientes, empleados, accionistas, reguladores, proveedores, la sociedad) y cuáles de sus requisitos son pertinentes para la seguridad de la información —incluyendo, desde la enmienda de 2024, los relacionados con el cambio climático que sean relevantes—.
- 4.3 Determinación del alcance del SGSI: fijar por escrito los límites y la aplicabilidad del sistema, considerando el contexto (4.1), las partes interesadas (4.2) y las interfaces con actividades de otras organizaciones. El alcance debe estar disponible como información documentada.
- 4.4 Sistema de gestión de la seguridad de la información: establecer, implementar, mantener y mejorar continuamente el SGSI, incluidos los procesos necesarios y sus interacciones.
El error de implementación más caro de esta cláusula —y sobre el que volveremos en «Errores comunes»— es fijar un alcance demasiado amplio («toda la organización») sin haber hecho el ejercicio real de 4.1 y 4.2, lo que multiplica el esfuerzo de las cláusulas siguientes sin aportar valor de negocio proporcional.
Cláusula 5 — Liderazgo
La HLS pone el liderazgo antes que la planificación de forma deliberada: sin compromiso real de la alta dirección, un SGSI se convierte en papeleo de un departamento aislado. La cláusula 5 exige:
- 5.1 Liderazgo y compromiso: la alta dirección debe demostrar liderazgo activo, no solo aprobación formal: alinear política y objetivos con la estrategia, integrar los requisitos del SGSI en los procesos de negocio, asegurar recursos, comunicar la importancia de una seguridad eficaz y apoyar a quienes contribuyen a la eficacia del sistema.
- 5.2 Política: la dirección establece una política de seguridad de la información apropiada al propósito de la organización, que incluya o enmarque los objetivos de seguridad y el compromiso de cumplir los requisitos aplicables y de mejora continua. Debe estar documentada, comunicada y disponible para las partes interesadas cuando proceda.
- 5.3 Roles, responsabilidades y autoridades: la alta dirección asigna y comunica responsabilidades y autoridades para los roles del SGSI, incluida la de asegurar su conformidad e informar sobre su desempeño a la propia dirección.
Cláusula 6 — Planificación
Es, junto con la 8, la cláusula más operativamente densa y la que conecta directamente con lo que trabajaste en los Módulos 3 y 4 de este curso:
- 6.1.1 Generalidades: al planificar el SGSI, considerar el contexto (4.1-4.2) y determinar los riesgos y oportunidades que es necesario tratar para lograr los resultados previstos, prevenir efectos indeseados y lograr la mejora continua.
- 6.1.2 Apreciación del riesgo: establecer y aplicar un proceso de apreciación (identificación, análisis y evaluación) consistente, válido y comparable en sucesivas iteraciones, que identifique propietarios del riesgo y evalúe consecuencias y probabilidad. Aquí se aplican directamente ISO 31000 y MAGERIT, vistas en el Módulo 3.
- 6.1.3 Tratamiento del riesgo: seleccionar las opciones de tratamiento, determinar los controles necesarios, compararlos con los del Anexo A para verificar que no falta ninguno relevante, y producir la Declaración de Aplicabilidad (SoA) con los controles necesarios, su justificación, estado de implementación y la justificación de exclusión de los no aplicables, además de un plan de tratamiento. Puente formal con el Módulo 4, donde trabajaste la SoA en detalle.
- 6.2 Objetivos de seguridad: establecerlos en las funciones y niveles pertinentes, coherentes con la política, medibles cuando sea posible, alineados con el riesgo, comunicados, actualizados y documentados.
- 6.3 Planificación de los cambios: cualquier cambio en el SGSI debe llevarse a cabo de manera planificada. Este subapartado, nuevo en 2022, formaliza que un cambio relevante (nuevo proceso, nueva tecnología, cambio de alcance) debe planificarse, no improvisarse.
Cláusula 7 — Soporte
Reúne los recursos habilitantes sin los cuales el SGSI no puede funcionar:
- 7.1 Recursos: determinar y proporcionar los recursos necesarios para establecer, implementar, mantener y mejorar continuamente el SGSI.
- 7.2 Competencia: determinar la competencia necesaria de las personas que afectan al desempeño de la seguridad, asegurar que la tienen (educación, formación o experiencia) y conservarlo como evidencia documentada.
- 7.3 Toma de conciencia: las personas bajo el control de la organización deben conocer la política de seguridad, su contribución a la eficacia del SGSI y las implicaciones de incumplir sus requisitos.
- 7.4 Comunicación: determinar qué comunicar sobre el SGSI, cuándo, con quién, quién comunica y mediante qué proceso, tanto interna como externamente.
- 7.5 Información documentada: agrupa 7.5.1 (qué información documentada exige la norma y cuál añade la propia organización), 7.5.2 (creación y actualización: identificación, formato, revisión y aprobación) y 7.5.3 (control: disponibilidad, protección, distribución, acceso, control de cambios y conservación, incluida la de origen externo).
Cláusula 8 — Operación
Es donde el «papel» se convierte en ejecución diaria del sistema:
- 8.1 Planificación y control operacional: planificar, implementar y controlar los procesos necesarios para cumplir requisitos y ejecutar lo decidido en la cláusula 6, estableciendo criterios de control, gestionando cambios planificados y no previstos, y controlando los procesos contratados externamente.
- 8.2 Apreciación del riesgo: repetir la apreciación del riesgo a intervalos planificados o cuando ocurran cambios significativos, conservando la evidencia documentada.
- 8.3 Tratamiento del riesgo: implementar el plan de tratamiento y conservar evidencia documentada de los resultados.
La cláusula 8 es, en esencia, la cláusula 6 puesta en marcha de forma continua: no es una planificación que se hace una vez y se archiva, sino un ciclo que se repite durante toda la vida del SGSI.
Cláusula 9 — Evaluación del desempeño
Sin medir, no hay gestión real: esta cláusula obliga a comprobar si el SGSI funciona.
- 9.1 Seguimiento, medición, análisis y evaluación: determinar qué medir, con qué método, cuándo, quién lo hace y quién analiza los resultados, documentándolos como evidencia.
- 9.2 Auditoría interna: llevar a cabo auditorías internas a intervalos planificados que verifiquen si el SGSI cumple los propios requisitos de la organización y los de la norma (9.2.1), sobre un programa de auditoría que defina criterios, alcance y auditores objetivos e imparciales (9.2.2). El marco metodológico de referencia es ISO 19011, desarrollado en el Módulo 8.
- 9.3 Revisión por la dirección: la alta dirección revisa el SGSI a intervalos planificados (9.3.1) partiendo de entradas fijas —no conformidades, resultados de auditoría y medición, cumplimiento de objetivos, estado del riesgo, cambios de contexto (9.3.2)— y generando salidas: decisiones de mejora y de cambios necesarios en el sistema (9.3.3).
Cláusula 10 — Mejora
Cierra el ciclo y lo reconecta con la cláusula 4, garantizando que el sistema no es estático:
- 10.1 Mejora continua: la organización debe mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.
- 10.2 No conformidad y acción correctiva: ante una no conformidad, reaccionar y corregirla, analizar su causa raíz para evitar que se repita, implementar las acciones necesarias, revisar su eficacia y, si procede, cambiar el SGSI. Debe conservarse evidencia documentada de la no conformidad, las acciones tomadas y sus resultados.
Nota de edición: en la versión 2013 el orden era el inverso (10.1 No conformidad, 10.2 Mejora continua); en 2022 se invirtió para alinear la cláusula con el resto de normas HLS. El fondo es equivalente; cambia el orden y se simplifica la redacción.
El ciclo PDCA y su mapeo con las cláusulas
El ciclo PDCA (Plan-Do-Check-Act, Planificar-Hacer-Verificar-Actuar), formalizado por Walter Shewhart y popularizado por W. Edwards Deming en gestión de la calidad, es el motor conceptual que subyace a la HLS y, por tanto, a ISO/IEC 27001. Aunque desde 2013 la norma ya no usa el rótulo «PDCA» en los títulos de cláusula —al contrario que la edición de 2005—, su enfoque de sistema de gestión sigue siendo el mismo, y es la forma más didáctica de entender por qué las cláusulas están ordenadas así:
| Fase PDCA | Qué significa en el SGSI | Cláusulas ISO 27001 asociadas |
|---|---|---|
| Plan (Planificar) | Entender el contexto, comprometer a la dirección, evaluar riesgos y fijar objetivos y controles | 4 (Contexto), 5 (Liderazgo), 6 (Planificación) |
| Do (Hacer) | Dotar de recursos y competencia, y ejecutar lo planificado en el día a día operativo | 7 (Soporte), 8 (Operación) |
| Check (Verificar) | Medir el desempeño, auditar internamente y revisar el sistema desde la dirección | 9 (Evaluación del desempeño) |
| Act (Actuar) | Corregir no conformidades y mejorar el sistema, retroalimentando de nuevo al contexto (cláusula 4) | 10 (Mejora) |
La clave conceptual —la que más se pierde cuando una organización trata la certificación como un proyecto de una sola vez— es que el ciclo no termina en Act: las salidas de la cláusula 10 retroalimentan de nuevo el contexto, el liderazgo y la planificación, generando una nueva vuelta. Un SGSI maduro no completa el PDCA una vez al certificarse; lo recorre de forma continua y solapada, con distintos procesos en distintas fases simultáneamente.
El Anexo A: referencia normativa a los 93 controles
El Anexo A de ISO/IEC 27001:2022 es una lista de referencia de 93 controles de seguridad, agrupados en cuatro temas (organizativos, de personas, físicos y tecnológicos), que son literalmente los mismos 93 que desarrolla en detalle —con objetivo, descripción, guía de implementación y atributos— la norma ISO/IEC 27002:2022. El Anexo A solo enumera el título de cada control, sin guía de implementación: por eso la propia 27001 remite explícitamente a la 27002, y ninguna organización debería intentar implementarlo leyendo solo el texto de la 27001.
El uso correcto del Anexo A dentro del ciclo de gestión del riesgo es el siguiente: tras identificar y evaluar los riesgos (cláusula 6.1.2) y seleccionar las opciones de tratamiento (6.1.3), la organización determina los controles necesarios para implementar ese tratamiento y, solo entonces, compara esa lista con el Anexo A para verificar que no ha omitido ningún control relevante que la propia norma sugiere considerar. El resultado de ese ejercicio —qué controles del Anexo A aplican, cuáles no y por qué, y el estado de implementación de cada uno— es la Declaración de Aplicabilidad (SoA) que ya trabajaste en el Módulo 4. El desarrollo completo de los 93 controles, sus cuatro temas y los once controles nuevos frente a 2013 tiene su propio módulo dedicado: el Módulo 6 de este curso.
La transición 2013 → 2022: fechas, plazos y la enmienda de 2024
Para cualquier profesional de GRC, dominar la cronología exacta de esta transición no es un detalle anecdótico: determina si un certificado que tienes delante en una auditoría de proveedor sigue siendo válido.
Publicación de la edición 2022
ISO/IEC 27001:2022 se publicó el 25 de octubre de 2022, sustituyendo a la edición de 2013 (que a su vez había sustituido a la primera edición de 2005). El cambio más visible no está en las cláusulas 4-10 —que sufren ajustes menores, ya comentados— sino en el Anexo A: los 114 controles en 14 dominios de la edición 2013 se reestructuraron en 93 controles agrupados en 4 temas, fusionando controles solapados y añadiendo 11 nuevos (inteligencia de amenazas, seguridad en la nube, prevención de fuga de datos, codificación segura, entre otros), alineados con la publicación simultánea de ISO/IEC 27002:2022 en febrero de ese mismo año.
El periodo de transición
El International Accreditation Forum (IAF), mediante el documento IAF MD 26:2023, fijó un periodo de transición de 36 meses para que las organizaciones certificadas en 2013 migraran a 2022. Desde abril de 2024 los organismos de certificación dejaron de emitir nuevas certificaciones o recertificaciones contra la edición 2013. Hasta el 31 de octubre de 2025, las organizaciones con certificado 2013 vigente debían completar su auditoría de transición (habitualmente aprovechando su auditoría de seguimiento o recertificación programada). Desde el 1 de noviembre de 2025, cualquier certificado emitido contra la edición 2013 dejó de ser válido: uno que veas hoy en una auditoría de proveedor debe tratarse como no vigente.
Amendment 1:2024 — acción climática
El 23 de febrero de 2024 se publicó ISO/IEC 27001:2022/Amd 1:2024, una enmienda de alcance acotado que responde a una decisión del Comité de Gestión Técnica de ISO para incorporar el cambio climático en las normas de gestión de la HLS. Añade dos frases: en 4.1, que la organización debe determinar si el cambio climático es una cuestión pertinente; en 4.2, una nota de que las partes interesadas pueden tener requisitos relacionados con él. No introduce controles nuevos en el Anexo A ni una metodología de análisis climático específica: se resuelve documentando esa reflexión —por ejemplo, riesgos de continuidad por eventos climáticos extremos sobre centros de datos, o requisitos de sostenibilidad de clientes— dentro del análisis de contexto ya existente, y se revisa en la siguiente auditoría de seguimiento o recertificación. No abre un plazo de transición propio, distinto del calendario 2022-2025 ya descrito.
| Hito | Fecha |
|---|---|
| Publicación de ISO/IEC 27001:2022 | 25 de octubre de 2022 |
| Publicación de ISO/IEC 27002:2022 | 15 de febrero de 2022 |
| Fin de emisión de nuevas certificaciones/recertificaciones contra la edición 2013 | 30 de abril de 2024 |
| Publicación de ISO/IEC 27001:2022/Amd 1:2024 (acción climática) | 23 de febrero de 2024 |
| Fin del periodo de transición; caducidad de certificados 2013 | 31 de octubre de 2025 |
Caso práctico: checklist de documentos y registros obligatorios por cláusula
Un error habitual al preparar una certificación es perderse en un listado interminable de «documentación ISO 27001» descontextualizado. La forma correcta es agrupar la información documentada exigida por las cláusulas 4-10, distinguiendo documentos (política, procedimientos, planes: cómo se hacen las cosas) de registros (evidencias de que algo ha ocurrido: actas, informes, logs). Esta es la checklist mínima que un auditor esperará encontrar, agrupada por la cláusula que la exige:
CHECKLIST — Información documentada obligatoria ISO/IEC 27001:2022
(agrupada por cláusula; D = documento, R = registro)
Cláusula 4 — Contexto
[D] Alcance del SGSI (4.3)
[D] Análisis de contexto: cuestiones internas/externas (4.1)
[D] Mapa de partes interesadas y sus requisitos (4.2)
Cláusula 5 — Liderazgo
[D] Política de seguridad de la información (5.2)
[D] Documento de roles, responsabilidades y autoridades (5.3)
Cláusula 6 — Planificación
[D] Metodología de apreciación del riesgo (6.1.2)
[R] Informe de apreciación del riesgo (6.1.2)
[R] Plan de tratamiento del riesgo (6.1.3)
[D] Declaración de Aplicabilidad — SoA (6.1.3)
[D] Objetivos de seguridad de la información (6.2)
[D] Registro/plan de cambios planificados al SGSI (6.3)
Cláusula 7 — Soporte
[R] Evidencias de competencia del personal (7.2)
[R] Registros de formación y concienciación (7.3)
[D] Plan de comunicación interna/externa (7.4)
[D] Procedimiento de control de la información documentada (7.5.3)
Cláusula 8 — Operación
[R] Evidencias de planificación y control operacional (8.1)
[R] Resultados de apreciaciones del riesgo periódicas (8.2)
[R] Resultados del tratamiento del riesgo ejecutado (8.3)
Cláusula 9 — Evaluación del desempeño
[D] Plan de seguimiento y medición: qué, cómo, cuándo, quién (9.1)
[R] Resultados de seguimiento y medición (9.1)
[D] Programa de auditoría interna (9.2.2)
[R] Informes de auditoría interna (9.2.1)
[R] Actas de revisión por la dirección: entradas y salidas (9.3)
Cláusula 10 — Mejora
[R] Registro de no conformidades y acciones correctivas (10.2)
[R] Evidencia de eficacia de las acciones correctivas (10.2)
Nota: esta lista cubre los MÍNIMOS exigidos por el texto de la norma.
La organización puede (y suele) necesitar documentación adicional
según el alcance <alcance> definido en 4.3 y los controles
seleccionados en la Declaración de Aplicabilidad.
En consultoría, esta checklist se organiza en un índice maestro de documentación del SGSI, con control de versiones, propietario y fecha de última revisión, tal y como exige el propio 7.5.3. Ese índice —y el proyecto de implantación completo: alcance, gap analysis, gestión documental, concienciación e indicadores— se desarrolla paso a paso en el Módulo 7.
Errores comunes
- Confundir ISO 27001 con ISO 27002. Decir «vamos a certificarnos en ISO 27002» o tratar el Anexo A como autoexplicativo sin acudir a la 27002 para la guía de implementación. La 27001 fija requisitos de sistema de gestión y es la que se certifica; la 27002 es la guía de controles.
- Alcance inflado o de conveniencia. Definir un alcance («toda la organización») que no se ha derivado realmente del análisis de contexto (4.1-4.2), por comodidad o para «aparentar» cobertura ante clientes. Un alcance mal fundamentado se traduce en una SoA incoherente y en no conformidades en la fase 2.
- Documentar por documentar. Generar decenas de procedimientos que nadie lee ni sigue, en lugar de la información documentada mínima y proporcional que exige la norma, con propietarios reales y ciclo de revisión activo.
- Tratar la certificación como un proyecto con fecha de fin. Correr para obtener el certificado y descuidar después la cláusula 9 (seguimiento, auditoría interna, revisión por la dirección), en lugar de operar el PDCA de forma continua.
- Copiar la SoA de otra organización o de una plantilla genérica sin haber recorrido el proceso real de apreciación y tratamiento del riesgo. Un auditor experimentado detecta con rapidez una SoA que no se corresponde con los riesgos reales del negocio.
- Ignorar la planificación de cambios (6.3). Migrar de proveedor cloud o cambiar de arquitectura sin evaluar el impacto en el SGSI ni actualizar la SoA, dejando el sistema desalineado con la realidad operativa.
Ejercicio
Toma la organización de tu Módulo 4 (o una ficticia con la que ya hayas trabajado en ejercicios previos) y completa lo siguiente en tu bitácora:
- Redacta en 5-8 líneas el contexto (4.1) y el mapa de partes interesadas (4.2), incluyendo si el cambio climático es una cuestión pertinente según el Amendment 1:2024 (por ejemplo: dependencia de un único centro de datos en zona de riesgo, o clientes que exigen reporting de sostenibilidad).
- A partir de ese contexto, redacta una propuesta de alcance del SGSI (4.3) en una sola frase precisa: qué procesos, ubicaciones y sistemas entran, y cuáles quedan explícitamente fuera.
- Rellena la primera columna de la checklist de este módulo (solo documentos) indicando quién sería el propietario de cada uno (rol, no nombre propio).
- Explica en dos o tres frases por qué tu alcance del punto 2 no incurre en el error de «alcance inflado» descrito en este módulo.
Preguntas frecuentes
¿Puedo certificarme solo en ISO/IEC 27002?
No. ISO/IEC 27002 no define requisitos de sistema de gestión (contexto, liderazgo, planificación, evaluación del desempeño) y no es una norma certificable por sí misma. Lo que se certifica es el SGSI conforme a ISO/IEC 27001; la 27002 se usa como guía de implementación de los controles del Anexo A.
¿Qué cláusulas de ISO/IEC 27001:2022 contienen requisitos auditables?
Las cláusulas 4 a 10. Las cláusulas 1 (objeto y campo de aplicación), 2 (referencias normativas) y 3 (términos y definiciones) son informativas y no se auditan como requisitos, aunque conviene conocerlas para entender el resto del documento.
¿Sigue siendo válido un certificado ISO 27001:2013 hoy?
No. El periodo de transición fijado por el IAF (IAF MD 26:2023) terminó el 31 de octubre de 2025; desde el 1 de noviembre de 2025 ningún certificado emitido contra la edición 2013 tiene validez. Cualquier certificado vigente que veas hoy debe ser frente a ISO/IEC 27001:2022.
¿Qué cambia realmente el Amendment 1:2024 en la práctica de una organización ya certificada?
Muy poco en esfuerzo: añade una frase en 4.1 (determinar si el cambio climático es una cuestión pertinente) y una nota en 4.2 (las partes interesadas pueden tener requisitos relacionados con él). No añade controles al Anexo A ni exige metodología específica; se resuelve documentando esa reflexión en el análisis de contexto ya existente y se revisa en la siguiente auditoría.
¿Qué relación hay entre el ciclo PDCA y que el SGSI sea «de mejora continua»?
El PDCA es el mecanismo que hace posible la mejora continua de la cláusula 10.1: las salidas de la fase Act no cierran el proceso, sino que retroalimentan de nuevo el contexto, el liderazgo y la planificación (cláusulas 4-6), iniciando una nueva vuelta. Por eso un SGSI certificado se audita cada año y se recertifica cada tres: la norma asume, por diseño, que el sistema nunca deja de girar.
Con el mapa completo de ISO/IEC 27001:2022 —familia de normas, HLS, cláusulas 4-10, PDCA y la transición 2022-2025— tienes el esqueleto sobre el que se apoya el resto del bloque ISO del curso. En el Módulo 6 bajarás al detalle de los 93 controles del Anexo A; en el Módulo 7 convertirás esta teoría en un proyecto de implantación real, y en el Módulo 8 aprenderás a auditarlo y a presentarlo ante un organismo de certificación.
«ISO/IEC 27001 is the world’s best-known standard for information security management systems (ISMS). It defines requirements an ISMS must meet. […] By implementing ISO/IEC 27001, organizations can build resilience, effectively manage risk and ensure business continuity.»
— ISO/IEC 27001:2022, Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Fuente: iso.org/standard/27001
